Le tout nouveau produit d’HashiCorp est sorti il y a quelques heures. Celui-ci est un bastion à la mode 2.0, c’est à dire bien différent des autres projets Opensource que l’on connait (sshpass, bastillion, etc.)
En effet, ce nouveau bastion à de nombreux avantages :
- Une interface web simple et efficace
- Une API très complète
- Une CLI
- Modulaire (controleurs et workeurs)
- Hautement disponible
- Gestion des révocations
- Gestion de groupes d’hosts, groupes d’utilisateurs
- RBAC
- Secrets dynamique dans Vault
- Une excellente documentation
- On peut facilement le tester (via le mode developpement)
- Provider Terraform
Comment ça marche ?
Les composants
OS supportés
- Linux (Ubuntu/Debian CentOS Fedora et Amazon Linux)
- Mac
- Windows
L’installation
Pré-requis d’installation
- Docker
- Avoir puller l’image de PostgreSQL
L’installation en elle même est très simple, c’est un package (qui est en fait un binaire).
Je vous renvoi directement vers la documentation, car elle est très bien détaillée.
Mon feedback
Très beau travail opéré par la team HachiCorp ! Clairement des bastions OpenSource, il y en a très peu et celui-ci est convaincant.
Surtout pour les entreprises qui veulent une gestion centralisée, de la fédération, du HA, support des Cloud provider, etc.
Il y a évidement Teleport, mais les fonctionnalités gratuite sont très limités, pas de RBAC notamment, donc limitant, mais par contre il y a une fonctionnalité de session replay plutôt intéressante.
Bref, parlons de Boundary à présent.
Clairement, il fait le job pour une V0.10, en occurrence on a une gestion des hôtes, groupes d’hôtes, utilisateurs, groupes d’utilisateurs, RBAC, proxy, etc. Et en terme de connecteurs, on a du TCP seulement (SSH, RDP, PostgreSQL, mais d’autres à venir).
L’installation est très simple en mode développement pour un POC, pour la version prod-ready, c’est plus compliqué évidemment mais faisable en quelques minutes.
En quelques heures on peut le prendre en main, créer ses premiéres connexions et utilisateurs, mais évidemment il faut un peu plus de temps pour maitriser l’ensemble des fonctionnalités.
Je ne vous cache pas qu’il y a quelques bugs, mais ils sont trés réactif, y compris sur leur forum.
Les énormes avantages de celle solution sont l’API et la datasource Terraform, qui permet de faire de l’infrastructure as code assez facilement.
Nous sommes aux prémisses d’un bastion professionnel …
Evolutions à venir
Logs
- Audit logs pour avoir la liste des actions via l’API / IHM.
- Access logs pour avoir la liste des connexions
- Export vers ElasticSearch et autres plateformes
Métriques / Tracing
Support d’OpenTelemetry, ce qui sera parfait pour suivre l’activité avec précision.
Authentification
- Gitlab
- Github
- AWS
- Okta
- Azure
Découverte des hôtes
Bientôt également l’auto discovery lié à Consul !
Conclusion
Je vais suivre de près cette solution et contribuer modestement, car elle mérite d’évoluer et concurrencer les acteurs professionnels qui facturent des milliers d’euros leurs solutions.
D’autres solutions OpenSource existent mais je fais confiance à HashiCorp pour pérenniser et professionnaliser cette solution.
Bonjour,
Vous avez pu tester l’auth ssh via couple public/private key?
En effet, j’ai vu plusieurs vidéo/doc avec l’auth ssh via Boundary mais aucune ne parle de la config entre boundary et du serveur hormis les 3 clic clic dans l’interface. Je vois en général les gens initié la co ssh puis taper leur mot de passe..
Cordialement,